Codes of Conduct

Codes of Conduct stammen aus dem stark auf Selbstregulierung ausgerichteten Recht der Vereinigten Staaten, haben aber auch in Teilbereichen Entsprechungen im europäischen und deutschen Recht. Die deutsche Fassung der DSGVO verwendet hierfür den Begriff "Verhaltensregeln".

Verfahren

Zwar kann ein Branchenverband grundsätzlich ohne Beachtung bestimmter Vorgaben Selbstverpflichtungen für seine Mitglieder entwerfen und intern für verbindlich erklären. Die im Datenschutzrecht für Verhaltensregeln vorgesehenen Rechtswirkungen treten aber nur ein, wenn das in Art. 40 DSGVO und § 38a BDSG vorgesehene Verfahren zum Erlass solcher Codes of Conduct eingehalten wird.

Nicht jeder kann danach Verhaltensregeln in Zusammenarbeit mit den Aufsichtsbehörden aufstellen. Art. 40 Abs. 2 u. 5 DSGVO beschränken diese Möglichkeit auf „Verbände und andere Vereinigungen“. Branchen- und Berufsverbände werden dadurch unproblematisch erfasst, Konzerne möglicherweise nicht. Die Bedeutung und Größe ist dabei jedenfalls nicht relevant.

Die Genehmigung wird dabei grundsätzlich nach Art. 40 Abs. 5 DSGVO von der mitgliedstaatlichen Aufsichtsbehörde am Sitz des Antragstellers erteilt. Sollen sich die Regelungen auf Datenverarbeitungen in mehreren Mitgliedsstaaten der EU beziehen, so muss die mitgliedstaatliche Aufsichtsbehörde zusätzlich eine Genehmigung des Europäischen Datenausschusses einholen (Art. 40 Abs. 7 DSGVO).

Werden die Verhaltensregeln von der Aufsichtsbehörde genehmigt, so sind damit Rechtswirkungen verbunden. An zahlreichen Stellen sind bei der Befolgung eines Code of Conduct Erleichterungen für den Nachweis der Einhaltung der Regelungen der DSGVO vorgesehen. Auch wird angenommen, dass die Aufsichtsbehörden durch ihre Genehmigung zumindest bei präzisen Regelungen später einer gewissen Bindung an die dort getroffenen Auslegungen unterliegen. Praktisch dürfte dies durch die Kommunikation während der Erstellung solcher Verhaltensregeln noch viel stärker der Fall sein.

Ohne eine weitere Umsetzung innerhalb des Verbandes haben Codes of Conduct jedoch überhaupt keine weitere Rechtsqualität und können insbesondere keine Ansprüche für Betroffene begründen. Je nach Umsetzung können diese aber zumindest dadurch verbandsintern Verbindlichkeit erlangen, dass sich die Mitglieder diesem durch Beitritt oder Zustimmung freiwillig unterwerfen. Selbst diese beschränkte Verbindlichkeit ist aber keinesfalls unumstritten. Hierzu müsste von einem erhöhten Interesse des Verbandes an der Einhaltung der datenschutzbezogenen Verhaltensregeln auszugehen sein, was sich nicht für jede Branche pauschal bejahen lässt.

Möglicher Inhalt

Codes of Conduct enthalten meist Erklärungen über die Werte und Geschäftspraktiken. Sie zeichnen ein Bild des Unternehmens und können in diesem Rahmen auch zu den angestrebten Datenschutzstandards Stellung beziehen. Sinn und Zweck solcher Verhaltensregeln ist die Anpassung der oft abstrakten und generellen gesetzlichen Vorgaben an die speziellen Bedürfnisse einer Branche. Die Überprüfung durch die Aufsichtsbehörden führt dabei zwar nicht zu einer Verbindlichkeit der Regelungen, wohl aber zu einer gewissen Orientierung an die dort vorgenommenen Auslegungen. Genaue Mindestinhalte sind für die Verhaltensregeln aber in der DSGVO nicht vorgegeben.

Mögliche Inhalte sind in Art. 40 Abs. 2 lit. a–k DSGVO beispielhaft aufgezählt. Im Wesentlichen steht die Konkretisierung von Generalklauseln und Anpassung an verarbeitungsbezogene Besonderheiten der jeweiligen Branche im Vordergrund.

Verwendung in der Datenschutzkommunikation

Die Möglichkeiten zur Aufstellung solcher Verhaltensregeln werden zwar vereinzelt genutzt, von einer weiten Verbreitung lässt sich aber aufgrund der überschaubaren Zahl von Fällen bisher kaum sprechen. Durch die deutlich detaillierteren Regeln der DSGVO zum Genehmigungsverfahren und auch durch die genauere Betrachtung der Rechtsfolgen wird dieses Instrument der „regulierten Selbstregulierung“ aber für die Zukunft deutlich gestärkt.

Eine Veröffentlichung und Kommunikation obliegt dabei nicht nur den diesen Verhaltensregeln unterworfenen Stellen. Nach Art. 40 Abs. 6 DSGVO sind diese schon von den Aufsichtsbehörden in ein Verzeichnis aufzunehmen und zu veröffentlichen.

Ein Verweis auf dieses Verzeichnis kann dabei innerhalb der eigenen Kommunikation mit der Öffentlichkeit positiv genutzt werden, in dem die Prüfung durch die Aufsichtsbehörde herausgestellt wird. Dabei steht es im Belieben des einzelnen Verarbeiters, ob er die Existenz eines Code of Conduct und dessen Inhalte innerhalb der eigenen Werbestrategie weiter ausnutzt und durch explizite Hinweise darauf zusätzliche positive Wettbewerbseffekte generiert.

Und auch wenn aus Sicht des jeweiligen Verarbeiters branchenweite Übereinkünfte keine individuellen positiven Vorteile in der Datenschutzkommunikation generieren, dienen sie aber zumindest einer Abgrenzung von „schwarzen Schafen“ in einem möglicherweise von den Verbrauchern grundsätzlich als eher wenig vertrauenswürdig eingestuften Sektors.

Langfristig kann durch Codes of Conduct neben der Schaffung von mehr Rechtssicherheit für die beteiligten Verarbeiter dann auch mittelbar das Vertrauen des Verbrauchers in die Gesamtbranche gesteigert werden.

Schließlich sollte auch der Aspekt der Kommunikation mit der Aufsichtsbehörde während des Genehmigungsprozesses nicht vernachlässigt werden. Hier besteht die Möglichkeit einer sehr gezielten Lobby-Arbeit, um die Generalklauseln der DSGVO für die Gegebenheiten in der eigenen Branche handhabbar zu machen.